El aumento del comercio electrónico, una banca cada vez más digitalizada y el creciente uso de la tarjeta como medio de pago son aprovechados por los ciberdelincuentes para conseguir tus datos bancarios. El Portal publica una nueva serie para explicar qué técnicas emplean y cómo protegerte. Comenzamos con este post, donde nos detendremos en, quizá, la más habitual de ellas, el phishing.
La ingeniería social es la práctica de obtener información a través de la manipulación de los usuarios. El principio básico detrás de esto es que «el usuario es el eslabón más débil» en las transacciones digitales. Es más fácil engañar a alguien para que facilite su contraseña que penetrar los complejos sistemas de seguridad de las empresas.
Para ello recurren a diversos medios como correos electrónicos (phishing tradicional), SMS (smishing), llamadas telefónicas (vishing), páginas web falsas (web spoofing), etc. Pero realmente todos presentan patrones comunes que nos permiten detectarlos y actuar en consecuencia.
El phishing es la estafa en la que se suplanta la identidad de un tercero, es este caso, mediante envío masivo de correos electrónicos fraudulentos empleando la identidad de organismos o empresas legítimas, como tu banco. Es la primera fase de muchas con el objetivo final de obtener grandes sumas de dinero.
Este tipo de fraude persigue obtener datos personales (nombre, DNI) y datos bancarios (números de tu tarjeta, usuario y contraseña de tu banca electrónica, claves OTP). Esta técnica se conoce desde los años 80 y, por desgracia, no ha pasado de moda. Este neologismo viene de la palabra homófona en inglés fishing o pescar.
¿Qué «cebo» ponen en el anzuelo para que piques?
Estos mensajes fraudulentos utilizan todo tipo de artimañas para dar una falsa sensación de urgencia y forzar al usuario a que tome una decisión rápida para evitar supuestas consecuencias negativas. Te damos unos ejemplos:
Tu cuenta ha sido bloqueada o va serlo de forma inminente.
Ha entrado en vigor una nueva normativa.
Mejoras en las medidas de seguridad.
Te piden que confirmes tu identidad.
Ofrecen descuentos, promociones y sorteos.
¿Cómo identificar un correo electrónico fraudulento?
El sentido común es clave para prevenir este tipo de actuaciones delictivas:
Tu banco nunca te pedirá por correo electrónico ni por SMS que facilites tus claves de acceso a la banca electrónica o los datos de tus tarjetas de crédito.
Si tiene archivos adjuntos, desconfía. Con gran probabilidad este archivo oculta un virus informático (malware o programa malicioso).
Verifica la dirección del remitente. Pero ten en cuenta que los ciberdelincuentes consiguen ocultar la dirección real detrás de una falsa.
Desconfía de los mensajes que contengan enlaces. Revísalos antes de clicar. Para ello, pasa el cursor sobre el hipertexto para ver el enlace verdadero. Su objetivo es dirigir a la víctima a una página falsa (web spoofing) que simula ser la web legítima para robar sus credenciales de acceso.
¿Qué hago una vez lo haya detectado?
No facilites nunca la información que se te pide ni ninguna otra.
No pinches en los enlaces ni descargues los archivos adjuntos.
Márcalo como «no deseado» y, si puedes, denuncia la suplantación de identidad a tu proveedor de correo electrónico. Bloquea al remitente para evitar recibir correos de este tipo en el futuro.
Es aconsejable remitirlo a tu banco para que esté al tanto e informe al resto de clientes.
Si crees haber sido víctima, comunícalo a la entidad para que bloquee la operación y revierta, en la medida de lo posible, el problema. Modifica la contraseña de acceso a tu banca electrónica. No olvides interponer denuncia ante la Policía, Guardia Civil o en el Juzgado.
Quizás todo esto te resulte conocido, pero comparte esta información con las personas de tu entorno y ponles ejemplos reales para que se den cuenta de esta amenaza. Además, en la web de la Oficina de Seguridad Informática(OSI) te explicarán con más detalle que herramientas técnicas puedes usar para protegerte. Que no te pillen desprevenido, tu mayor protección eres tú mismo.